피싱 메일 유입 분석 (악성)

[ 1 ]

해당 메일의 URL로 접속한 내용

 

Burp Suite 로 C2 통신 이력과 데이터 평문 전송 확인

 

1) HTTPS(TLS)를 사용하더라도 애플리케이션 레벨에서 평문 데이터가 그대로 노출되는 것은

전형적인 허술한 피싱 사이트의 특징임

2) 해당 엔드포인트(pno.php)는 단순히 입력값을 텍스트 파일이나 데이터베이스에 저장하는 구조일 확률이 높음

 

패킷 헤더에 Sec-Fetch-Mode: cors와 Origin이 찍혀 있는 것으로 보아,

공격자가 설정한 다른 호스트(awsapprunner.com 등)에서 이 도메인으로 데이터를 넘기고 있음.

이는 공격자가 여러 개의 서버 인스턴스를 분산해서 사용하고 있음을 암시함

 

 

---

[ 2 ]

aveluro.com까지만 들어가면 주식 베트남 주식 시장 정보를 제공하는 핀테크 서비스의 홈페이지가 보이게 된다

 

1) 하지만 탐지 이력중 하위도메인인 /new/로 들어가는 경우 위와 같은 에러 구문이 보여짐

이는 베트남 주식 정보를 제공하는 실제 서비스(Aveluro)가 공격자에게 해킹당해,

특정 경로(예: /news/...) 하위에만 피싱 페이지나 악성 스크립트를 심어두었을 수 있음

 

2) 분석 도구 감지로User-Agent나 Proxy 사용 여부를 확인하고 해당 경로에 대한 접근을

강제로 차단(500 Internal Server Error)했을 가능성도 높음

---

[ 3 ]

haninpost.com 분석

 

무작위 이메일 주소와 패스워드를 입력

입력값이 평문화 되어 서버로 전송되는 것을 볼 수 있음

 

HTTPS를 사용 중임에도 불구하고, 전송 전 단계에서 암호화 처리가 전혀 되어 있지 않아

서버 관리자나 로그를 볼 수 있는 공격자는 이 값을 그대로 획득할 수 있음

 

haninpost.com 평판 조회

 

Malware/Malicious 분류: Fortinet, Sophos, VIPRE 등은 이 사이트에서 단순 스팸이 아닌

실제 악성코드(Malware) 연계 행위를 포착했기 때문에 빨간불을 띄운 것

 

사용자가 한인포스트 접속 시, 페이지 내부에 숨겨진 코드가 crazy2cdn.com이라는

외부 서버에서 engine...js 같은 악성 스크립트를 가져옴